Quản lý tài khoản người dùng trong nhóm

Chia sẻ: Tran Long | Ngày: | Loại File: PDF | Số trang:8

1
134
lượt xem
57
download

Quản lý tài khoản người dùng trong nhóm

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tài khoản người dùng và tài khoản nhóm - chứng thực và kiềm soát truy cập - các tài khoản tạo sẵn - quản lý tài khoản người dùng và nhóm cục bộ - quản lý người dùng và nhóm trên Actice Directory

Chủ đề:
Lưu

Nội dung Text: Quản lý tài khoản người dùng trong nhóm

  1. TRƯ NG Đ I H C KHOA H C T NHIÊN N i dung bài h c KHOA Đi N T - Vi N THÔNG Tài kho n ngư i dùng và tài kho n nhóm Chương 03 Ch ng th c và ki m soát truy c p Các tài kho n t o s n Qu n lý tài kho n ngư i dùng và nhóm c c b QU N LÝ TÀI KHO N NGƯ I Qu n lý tài kho n ngư i dùng vá nhóm trên DÙNG VÀ NHÓM Active Directory 2/47 ð nh nghĩa tài kho n ngư i dùng và tài kho n nhóm Tài kho n ngư i dùng (t.t) Tài kho n ngư i dùng Tài kho n ngư i dùng mi n Tài kho n ngư i dùng c c b : ð nh nghĩa trên Active Directory, lưu trên file NTDS.DIT ðư c ñ nh nghĩa trên máy c c b (máy stand-alone, member sever) Có th logon trên b t kỳ máy tr m nào thu c vùng ñ truy c p tài ðư c lưu trong t p tin SAM (Secutity Accounts Manager) nguyên m ng 3/47 4/47 1
  2. ð nh nghĩa tài kho n ngư i dùng và tài kho n Tài kho n ngư i dùng (t.t) nhóm Yêu c u tài kho n ngư i dùng Tài kho n nhóm Username: dài 1-20 ký t (trên Windows Server 2003, Nhóm b o m t (Security group) username có th dài 104 ký t , tuy nhiên khi ñăng nh p t các Nhóm b o m t ñư c dùng ñ c p phát các quy n h th ng máy cài h ñi u hành Windows NT 4.0 v trư c thì m c ñ nh ch (rights) và quy n truy c p (permission). hi u 20 ký t ) M i nhóm b o m t có m t SID riêng. Username là m t chu i duy nh t Có 4 lo i nhóm b o m t: local (nhóm c c b ), domain local (nhóm c c b mi n), global (nhóm toàn c c hay nhóm toàn m ng) và Username không ch a các ký t sau: “ / \ [ ] : ; | = , + * ? < > ” universal (nhóm ph quát). Username có th ch a các ký t ñ c bi t: d u ch m câu, kho ng Nhóm phân ph i (distribution group) tr ng, d u g ch ngang, d u g ch dư i. Nhóm phân ph i là nhóm phi b o m t, không có SID và không xu t hi n trong ACL (Access Control List). 5/47 6/47 ð nh nghĩa tài kho n ngư i dùng và tài kho n nhóm Tài kho n nhóm (t.t) Nhóm b o m t (Security group) Qui t t gia nh p nhóm Local (nhóm c c b ): Ch có ý nghĩa và ph m vi ho t ñ ng trên T t c các nhóm Domain local, máy c c b Global, Universal ñ u có th ñ t Domain local (nhóm c c b mi n): vào trong nhóm Machine Local. Là nhóm c c b nhưng n m trên các Domain Controller T t c các nhóm Domain local, M t user trên máy DC này s có m t trên các DC ñ ng hành v i nó Global, Universal ñ u có th d t vào trong chính lo i nhóm c a Global (nhóm toàn c c hay nhóm toàn m ng): mình. N m trong AD ñư c t o ra trên các DC Nhóm Global và Universal có ðư c c p quy n h th ng và quy n truy c p vư t qua ranh gi i c a th ñ t vào trong nhóm Domain mi n local. Universal (nhóm ph quát): ðư c c p quy n cho các ñ i tư ng Nhóm Global có th ñ t vào trên kh p mi n trong r ng trong nhóm Universal. 7/47 8/47 2
  3. Ch ng th c và ki m soát cuy c p Ch ng th c và ki m soát truy c p (t.t) Các giao th c ch ng th c S nh n di n b o m t SID (Security Identifier): m i tài Quy trình ch ng th c: kho n ñư c ñ t trưng m t con s nh n d ng tài kho n SID ðăng nh p tương tác: phê chu n nh ng yêu c u ñăng nh p c a ngư i dùng SID có d ng chu n “S-1-5-21-D1-D2-D3-RID” Ch ng th c m ng: ki m tra ch ng th c c b hay mi n Kerberos V5: là giao th c chu n Internet dùng ñ ch ng th c ngư i D1, D2, D3 : xác ñ nh domain dùng và h th ng. RID : xác ñ nh ngư i dùng trong vùng NT LAN Manager (NTLM): là giao th c ch ng th c chính c a M c ñích c a vi c s d ng SID: Windows NT. Secure Socket Layer/Transport Layer Security (SSL/TLS): là cơ D dàng thay ñ i tên ngư i dùng mà các quy n h th ng không ch ch ng th c chính ñư c dùng khi truy c p vào máy ph c v Web thay ñ i an toàn. Khi xóa tài kho n thì SID s không còn giá tr n a 9/47 10/47 Ch ng th c và ki m soát truy c p (t.t) Các tài kho n t o s n Ki m soát truy c p c a ñ i tư ng Các tài kho n ngư i dùng t o s n Administrator: toàn quy n trên máy tính hi n t i Ngư i dùng, nhóm, máy tính, các tài nguyên m ng ñ u ñư c ñ nh nghĩa dư i d ng các ñ i tư ng và ñư c ki m soát truy c p d a vào b Guest: dùng cho khách vãng lai không có tài kho n mô t ñ i tư ng ACE (Access Control Entry) ILS_Anonymous_User: là tài kho n dành cho d ch v ILS như Ch c năng c a ACE: caller ID, video conferencing Li t kê ngư i dùng nhóm nào ñư c truy c p ñ i tư ng IUSR_computer-name: dùng trong các truy c p d u tên trong d ch ð nh rõ quy n truy c p c a ngư i dùng và nhóm v IIS Theo dõi các s ki n x y ra trên ñ i tư ng ð nh rõ quy n s h u ñ i tư ng IWAM_computer-name: Dùng cho kh i ñ ng các ti n trình c a các ng d ng IIS M t ACL (Access Control List) ch a nhi u ACE, nó là danh sách t t c ngư i dùng và nhóm có quy n truy c p ñ n ñ i tư ng. Krbtgt: dùng cho d ch v trung tâm phân ph i khóa TSInternetUser: dùng cho Terminal Service 11/47 12/47 3
  4. Các tài kho n t o s n (t.t) Các tài kho n t o s n (t.t) Tài kho n nhóm Domain Local t o s n Tài kho n nhóm Domain Local t o s n Administrators: Toàn quy n trên h th ng Users Replicator: sao chép danh b trong AD Account Operators: Thêm xóa các tài kho n ngư i dùng local và tài kho n nhóm Incoming Forest Trust Builders: t o các quan h tin c p ñ n các r ng Domain Controllers: ñăng nh p vào các DC nhưng không có quy n Network Configuration Operators: ch nh s a các thông s TCP/IP qu n tr các chính sách b o m t trên các máy DC Backup Operators: Lưu tr ph c h i t p tin h th ng Pre-Windows 2000 Compatible Access: truy c p các tài kho n Guests ngư i dùng và nhóm h tr WinNT cũ Remote Desktop User: ñăng nh p t xa vào DC Print Operator: qu n lý các ñ i tư ng máy in Performace Log Users: ghi nh p các giá tr hi u năng c a DC Server Operators: cài ñ t qu n lý máy in, qu n lý thu m c, ñ nh d ng ñĩa, thay ñ i gi h th ng Performace Monitor Users : có kh năng giám sát t xa các DC 13/47 14/47 Các tài kho n t o s n (t.t) Các tài kho n t o s n (t.t) Tài kho n nhóm Global t o s n Các nhóm t o s n ñ c bi t: ch xu t hi n trên các ACL c a các tài nguyên và ñ i tư ng Domain Admins: Thành viên nhóm này có toàn quy n Interactive: ñ i di n cho nh ng ngư i dùng ñang s d ng máy t i qu n tr trong mi n ch Domain Users: m c ñ nh tài kho n ngư i dùng thu c Network: ñ i di n cho nh ng ngư i dùng ñang k t n i ñ n máy tính nhóm này khác Group Policy Creator Owners: nhóm này có quy n thay Everyone: ñ i di n cho t t c m i ngư i ñ i chính sách nhóm c a mi n System: ñ i di n cho h ñi u hành Enterprise Admins: thành viên c a nhóm này có toàn Authenticated users: nh ng ngư i ñư c xác th c quy n trên t t c các mi n trong r ng Anonymous logon: nh ng ngư i ñang nh p qua FTP Schema Admins: Thành viên c a nhóm này có th Dialup: ñang nh p h th ng thông qua Dial-up Networking ch nh s a c u trúc t ch c c a AD 15/47 16/47 4
  5. Qu n lý tài kho n ngư i dùng và nhóm c c Qu n lý tài kho n ngư i dùng và nhóm c c b b (t.t) Công c qu n lý tài kho n ngư i dùng c c b Qu n lý tài kho n ngư i dùng c c b Dùng công c Local Users and Groups T o tài kho n m i Xoá tài kho n Có 2 phương th c truy c p ñ n công c Local Khoá tài kho n Users and Groups ð i tên tài kho n Dùng như m t MMC (Microsoft Management Console) Thay ñ i m t kh u (Xem Demo) snap-in. Qu n lý tài kho n nhóm c c b Dùng thông qua công c Computer Management T o tài kho n nhóm Các bư c chèn Local Local Users and Groups Xoá tài kho n nhóm snap-in vào trong MMC. (Xem Demo) Thêm ngư i dùng vào nhóm (Xem Demo) 17/47 18/47 Qu n lý tài kho n ngư i dùng và nhóm trên Qu n lý tài kho n ngư i dùng và nhóm trên Active Directory Active Directory Công c qu n lý tài kho n ngư i dùng trên Active Qu n lý tài kho n nhóm trên Active Directory Công c Active Directory User and Computer Directory Truy xu t công c Active Directory User and Computer T o tài kho n nhóm thông qua MMC Qu n lý tài kho n ngư i dùng Xoá tài kho n nhóm T o tài kho n m i Thêm ngư i dùng vào nhóm Xoá tài kho n Gia nh p nhóm vào nhóm (Xem Demo) Khoá tài kho n ð i tên tài kho n Thay ñ i m t kh u (Xem Demo) 19/47 20/47 5
  6. Qu n lý tài kho n ngư i dùng và nhóm trên Qu n lý tài kho n ngư i dùng và nhóm trên Active Directory Active Directory Tab Account: Các thu c tính c a tài kho n ngư i dùng Tab General Tab Address Tab Telephones Gi i h n gi ñăng nh p Gi i h n PC mà ngư i dùng Tab Organization c a ngư i dùng đăng nh p t m ng Tab Account Tab Profile Tab Member of Tab Dial-in … (Xem Demo) T ñ ng logoff khi h t gi ñăng nh p Group Policy ch n Computerconfiguration\Windows 21/47 settings\Security Settings\Local Policies\Security Option ch n Network security:Force logoff 22/47 when logon hour expire Qu n lý tài kho n ngư i dùng và nhóm trên Qu n lý tài kho n ngư i dùng và nhóm trên Active Directory Active Directory Các tùy ch n liên quan ñ n tài kho n ngư i dùng Các tùy ch n liên quan ñ n tài kho n ngư i dùng User must change Ngư i dùng ph i thay ñ i m t kh u l n ñăng nh p k ti p, password at next logon sau ñó m c này s t ñ ng b ch n Account is trusted for Ch áp d ng cho các tài kho n d ch v nào c n giành ñư c User cannot change N u ñư c ch n thì ngăn không cho ngư i dùng tùy ý thay delegation quy n truy c p vào tài nguyên v i vai trò nh ng tài kho n password ñ i m t kh u. ngư i dùng khác. Password never expires N u ñư c ch n thì m t kh u c a tài kho n này không bao Account is sensitive and Dùng tùy ch n này trên m t tài kho n khách vãng lai ho c gi h t h n. cannot be delegated t m ñ ñ m b o r ng tài kho n ñó s không ñư c ñ i di n b i Store password using Ch áp d ng tùy ch n này ñ i v i ngư i dùng ñăng nh p t m t tài kho n khác. reversible encryption các máy Apple. Use DES encryption types N u ñư c ch n thì h th ng s h tr Data Encryption Account is disabled N u ñư c ch n thì tài kho n này t m th i b khóa, không s for this account. Standard (DES) v i nhi u m c ñ khác nhau. d ng ñư c. Smart card is required for Tùy ch n này ñư c dùng khi ngư i dùng ñăng nh p vào m ng Do not require Kerberos N u ñư c ch n h th ng s cho phép tài kho n này dùng m t interactive login thông qua m t th thông minh (smart card), lúc ñó ngư i preauthentication ki u th c hi n giao th c Kerberos khác v i ki u c a dùng không nh p username và password mà ch c n nh p vào Windows Server 2003. 23/47 24/47 m t s PIN. 6
  7. Qu n lý tài kho n ngư i dùng và nhóm trên Qu n lý tài kho n ngư i dùng và tài kho n Active Directory nhóm Tab Profile @echo off REM login.bat version1.1 Qu n lý tài kho n ngư i dùng và tài kho n REM Exit if user has logged on to the server nhóm b ng dòng l nh IF %computername%.== sever1. goto end L nh net user: t o thêm, hi u ch nh và hi n th REM delete pre-exit drive mappings thông tin c a các tài kho n ngư i dùng. Net use H: /delete >nul Cú pháp: Net use J: /delete >nul net user [username [password | *] [options]] REM Map H to Users share [/domain] \Window\SYSVOL\sysvol\do Net use H: \\server1\Users /yes >nul net user username {password | *} /add [options] mainname\scripts REM Map H to Apps share [/domain] Net use J: \\server1\Apps /yes >nul net user username [/delete] [/domain] REM Synchronize time with sever 25/47 26/47 Net Time \\sever1 /set /yes Qu n lý tài kho n ngư i dùng và tài kho n nhóm Qu n lý tài kho n ngư i dùng và tài kho n nhóm (t.t) (t.t) Qu n lý tài kho n ngư i dùng và tài kho n nhóm Qu n lý tài kho n ngư i dùng và tài kho n nhóm b ng dòng l nh (t.t) b ng dòng l nh (t.t) L nh net group: t o m i thêm, hi n th ho c hi u ch nh L nh net localgroup: thêm, hi n th ho c hi u ch nh nhóm nhóm toàn c c. c cb . Cú pháp: Cú pháp: net group [groupname [/comment:"text"]] [/domain] net localgroup [groupname [/comment:"text"]] [/domain] net group groupname {/add [/comment:"text"] | /delete} net localgroup groupname {/add [/comment:"text"] | /delete} [/domain] [/domain] net group groupname username[ ...] {/add | /delete} [/domain] net localgroup groupname name [ ...] {/add | /delete} [/domain] 27/47 28/47 7
  8. Qu n lý tài kho n ngư i dùng và tài kho n nhóm (t.t) Câu h i và gi i ñáp Qu n lý tài kho n ngư i dùng và tài kho n nhóm b ng dòng l nh (t.t) L nh dsadd user, dsmod user: t o m i, ch nh s a tài kho n ngư i dùng. Các ví d : dsadd user "CN=HV01,CN=Users, DC=Netclass, DC=Com, DC=vn" -pwd A1b2C3d4 -mustchpwd yes (thêm m t user) dsrm user "CN=hv01, CN=Users, DC=Netclass, DC=Com, DC=vn" (xóa m t user) Dsmod group “ CN=Network, CN=users, DC=netclass, DC=com, DC=vn” –addmbr “CN=hv01, CN=Users, DC=netclass, DC=com, DC=vn” (thêm m t ngư i dùng hv01 vào nhóm Network2929 29/47 30/47 8

CÓ THỂ BẠN MUỐN DOWNLOAD

Đồng bộ tài khoản